Rapid7—5天79起Memcache漏洞被利用事件!一篇文章教你如何有效检测和预防

发布时间: 2018-03-29      作者:并擎科技

月初期间,国内外多家安全机构组织发布了利用内存缓存的协议,作为DRDOS放大器进行“放大的DDoS的攻击的攻击”的漏洞。

监控数据显示,从2月26日至3月2日,短短5天内,全球就发生了79起利用的Memcached的的协议的反射放大攻击,日攻击总流量最高达到419TBytes!这个流量是什么概念呢,简单来说就是塞爆800多个500G硬盘。

香港内部精准马料十码

作为活跃在信息安全领域中的非知名实力派,并擎科技的网络安全技术团队结合Rapid7产品进行了深入的分析研究,从中发现其攻击原理,并给出了应对的防护建议。

香港内部精准马料十码

首先,此次事件为“利用内存缓存的协议,作为DRDOS放大器进行放大的DDoS的攻击的攻击”。

其攻击原理为:黑客利用的memcached的的的协议,发送大量带有被害者IP地址的UDP数据包给放大器主机,然后放大器主机对伪造的IP地址源做出大量回应,形成分布式拒绝服务攻击,从而形成DRDOS反射。

香港内部精准马料十码

可能有些同学不是很懂,我换种说法你就理解了。

小明早就对小强很不爽了,可能是因为小强长得帅,可能是因为小强有钱,有漂亮的女朋友,不管什么原因,小明就是看他不顺眼。

正好今天喝的来劲心想要给小强整蛊一把,怎么整蛊呢?小强不是开了家商店嘛,那我就帮你拉些客户来光临一下吧。

1.找人(黑客寻找肉鸡 ):要找什么“客户”呢,肯定要找那些头脑简单,四肢发达的,这种人身体健壮一身蛮力,没啥追求爱看热闹,对于搞恶作剧是上上之选。

2.聚人(选中Memcache服务器反射点)确认好了人选,小明就跑到此类人群聚集地散布谣言去了“听说小强商店在今晚全场免费送,还请来了小四,柳岩,苍老师呢“。

3.骗人(发送大量UDP包,形成DRDoS攻击)小明按照小强的样子使用了易容大法,跑到大家面前说:“今天晚上我请了柳岩姐姐给大家表演,大家记得来哦”。这些“客户”头脑简单,当然识别不出那是小明,也真的以为今晚会有表演。

到了晚上八点,小强刚吃完饭准备出去散步,打开店门就瞬间一堆壮汉冲进来把商店挤爆了,寸步难行的小强一脸懵逼,根本就动不了,而外面的人还在使出洪荒之力不断想往里面挤。小强被挤的喘不过气,找了旁边的一位大汉提出了经典的茫然三问“你是谁?你哪来?你想要干嘛?”

香港内部精准马料十码

以上这个小事故就是此次事件的过程,发生此种事件,会使得受害者对外开放的内存缓存存储系统接收到大量数据,造成数据库服务器完全瘫痪,最后严重影响正常业务。

那要怎么检测我的系统是否存在这种漏洞呢?

很简单:

1.利用NMAP端口扫描工具检查目标IP是否开放11211以及是否承载内存缓存服务参考命令如下:

#nmap(目标ip)-p 11211 -T5

香港内部精准马料十码

2.测试是否能够达到反射型利用效果,参考命令如下:

#python -c“print”\ 0 \ x01 \ 0 \ 0 \ 0 \ x01 \ 0 \ 0stats \ r \ n'“| nc -nvvu(目标ip)11211> / tmp / null

实验结果为发出16个数据包,收到951个数据包。

香港内部精准马料十码

并擎科技教你如何防护此类攻击

由于新威胁会继续重复使用之前的攻击手法,所以企业必须采取适当措施来保护企业自身的安全,具体措施如下:

对于内存缓存使用者

1.内存缓存的用户建议将服务放置于可信域内,有外网时不要监听0.0.0.0,有特殊需求可以设置ACL或者添加安全组。

2.为预防机器器扫描和SSRF等攻击,修改内存缓存默认监听端口。

3.升级到新版本的内存缓存,并且使用SASL设置密码来进行权限控制。

对于网络层防御

1.多个ISP已经对UDP11211进行限速。

2.打击攻击源:互联网服务提供商应当禁止在网络上执行IP欺骗.IP欺骗DRDOS的根本原因具体措施可以参考BCP38。

3.ISP应允许用户使用BGP流量限制入站UDP11211的流量,以减轻大型DRDOS攻击时的拥堵。

当然,并擎科技代理的Rapid7旗下知名的Nexpose漏洞管理解决方案,可以及时检测此威胁漏洞,并提醒客户及时修补处理。

Rapid7 Nexpose是一款全球知名的安全风险智能解决方案,它能够提前支持,包括发现,检测,验证,风险分类,影响分析,报告和消减风险。

香港内部精准马料十码

关于Rapid7

Rapid7是全球知名的信息安全公司(渗透测试,漏洞管理和安全服务的全球知名厂商),总部位于美国波士顿,纳斯达克上市公司.Rapid7专注在信息安全领域,为全球超过100个国家的客户提供各类解决方案和安全服务,其中包括:全球财富1000强中的35%,如IBM,微软,苹果,惠普,思科,英特尔,VMware的的的的,EMC公司,波音公司等国内客户包括中国银行,招商银行,华为,阿里巴巴,联想,中芯国际,德邦物流,通联支付,饿了么等.Rapid7产品分类:Nexpose-漏洞管理平台,全球市场占有率名列前茅;Metasploit-渗透测试平台,全球行业标杆; AppSpider的网络应用安全扫描工具中,Gartner评分世界排名名列前茅。



关于Binqsoft(并擎科技)

上海并擎软件科技有限公司(简称“并擎科技”)是一家深耕于信息安全领域,提供相关解决方案及技术服务的高新技术企业。并擎科技凭借丰富的解决方案,专业的服务团队,众多的行业案例,深入的厂商合作以及全国范围内的服务支持能力等综合优势,已向国内外众多知名企业提供了优质解决方案和专业技术服务。

我们的客户包括百度,京东,德勤,中国银联,新开发银行,中国航油,中国商飞,中国东方航空,上海浦发集团,上海浦开集团,江苏电力,吉利汽车,汇众汽车,南京银行,苏州银行,交银租赁,中交三航院,通联支付,汽车之家,饿了么,美特斯邦威,德邦物流,益学堂,普洛斯等。

我们的合作伙伴包括微软,飞塔,Forcepoint,Rapid7,梭子鱼,Imperva,Checkmarx,Radware等业界率先品牌。